信息安全认证需要注意的方面还有:确定信息安全方针目标、建立管理组织机构、信息安全风险评估、ISMS体系文件编写、ISMS管理体系记录的设计等，下面和小编一起来看看吧！

五、确定信息安全方针和目标 

目的：明确信息安全方针和目标，为信息安全管理体系提供导向。 

内容：根据业务要求及组织实际情况，制定安全方针和目标。

包括： 

① 与最高管理者进行沟通，理解管理意图和管理要求，确定信息安全管理方针； 

② 根据方针的要求，制定目标，并分解到各个管理活动中，形成可测量的指标体系，确保方针和目标得以实现； 

六、建立管理组织机构 

目的：建立完善的内控组织架构，为整合体系提供支持。 

内容：良好的组织架构是确保各项管理活动落实的根本. 

包括： 

① 建立整合体系管理委员会，就重大信息安全事项进行决策； 

② 建立管理协调小组，就日常管理活动中的信息安全事项进行沟通改进； 

③ 明确管理活动中各流程责任人的职责，并文件化。 

七、信息安全风险评估 

目的：实施风险评估，识别不可接受风险，明确管理目标； 

内容：风险评估是整个风险管理的基础，本阶段将根据前期策划的风险评估方法 

包括： 

① 根据业务要求及信息的密级划分，对信息资产的重要程度进行判定，识别对关键核心业务具有关键作用的信息资产清单；对重要信息资产从内部及外部识别其所面临的威胁； 

② 根据威胁，从管理和技术两方面识别重要信息资产所存在的薄弱点； 

③ 根据风险评估的方法指南，对威胁利用薄弱点对重要信息资产所产生的风险在保密性、完整性、可用性三方面所造成的影响进行评价；评价威胁利用薄弱点引发安全风险事件的可能性； 

④ 根据风险影响及发生的可能性评价风险等级； 

⑤ 根据信息安全方针，各核心业务流程的安全要求，与管理层进行沟通，确定不可接受风险等级的标准； 

⑥ 针对不可接受的高风险，制定风险处理计划，从ISO27002及顾问的行业经验来选择适宜的风险管控措施；实施所选择的控制措施，降低、转移或消除安全风险； 

⑦ 编写风险评估报告。 

八、ISMS体系文件编写 

目的：建立文件化的信息安全管理体系。 

内容：根据文件体系策划的结果，编写信息安全管理体系文件， 

包括： 

① 整合信息安全管理体系手册，明确各管理过程的顺序及相互关系； 

② 整合信息安全管理体系所要求的程序文件，从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化； 

③ 制定各类安全策略，如：电子邮件策略、互联网访问策略，访问控制策略等。 

九、ISMS管理体系记录的设计 

目的：设计科学的信息安全管理体系记录，保证各管理流程的可控性和可追溯性。 

内容：根据各个管理流程和文件对管理过程的记录要求，设计记录表格格式 

包括： 

① 搜集原有管理记录； 

② 优化记录或重新设计； 

③ 沟通记录的形式和管理记录填写的必要性，保证信息安全管理体系的可控性与记录保持的数量之间的平衡。